F5 公司发布2024年8月季度安全通告，为9个漏洞发布补丁，其中包括为 BIG-IP和NGINX Plus 高危漏洞发布的补丁。

在这些漏洞中，最严重的是影响 BIG-IP Next Central Manager 的CVE-2024-39809，它是一个会话失效不充分漏洞，因用户会话刷新令牌未在登出时失效而引发。

F5公司在安全公告中提到，“能够访问用户会话cookie 的攻击者能够在用户登出后，继续使用该会话来访问 BIG-IP Next Central Manager 和由 BIG-IP Next Central Manager 管理的系统。不存在数据面板暴露问题，只是一个控制面板问题。”该漏洞影响 BIG-IP Next Central Manager 20.1.0版本，已在20.2.0版本中修复。

无法应用该修复方案的用户可通过如下方式缓解该漏洞：将管理权限仅限制给可信用户和设备、使用webUI后登出并关闭所有的web浏览器实例，并使用不同的浏览器管理 webUI等。

第二个高危漏洞是CVE-2024-39778，是位于BIG-IP中的视线弱点，可导致虚拟服务器不再处理客户端连接，流量管理微内核 (TMM) 在配置了高速桥 (HSB) 的无状态虚拟服务器上停止。F5公司解释称，“当系统自动重启时，流量被破坏。该漏洞可导致远程未认证攻击者在 BIG-IP 系统上引发拒绝服务。并不存在控制面板暴露，只是数据面板问题。”该漏洞影响BIG-IP 15.x、16.x 和17.x 版本，已在16.1.5和17.1.1中修复。将虚拟服务器配置为“标准 (Standard)”并将相关UDP配置的“空闲超时”值修改为使用“即时 (Immediate)”可缓解该漏洞。

另外一个高危漏洞位于可使用 MQTT 过滤器模块的 NGINX Plus 实例中，编号为CVE-2024-39792，可导致引发资源利用增多的未披露请求。成功利用该漏洞可导致性能降级，最终导致NGINX的master和worker流程被强制或手动重启。NGINX Plus 版本 R32 P1和R31 P3修复了该漏洞，不过可通过禁用MQTT过滤器模块的方式缓解该漏洞。

第四个高危漏洞是CVE-2024-41727，它是资源耗尽增多漏洞，影响在 r2000和r4000 系列硬件上运行的BIG-IP多租户和使用 Intel E810 SR-10V NIC 的BIG-IP 虚拟版本。远程未认证攻击者可利用该漏洞降级服务，直到TMM进程被迫重启，引发拒绝服务条件。该漏洞影响 BIG-IP 15.x 和16.x，已在16.1.5版本中修复。

F5公司还修复了位于 BIG-IP和NGINX（Plus和Open Source）中的五个中危漏洞，它们可导致拒绝服务条件、账户登出、用户名称暴露和凭据登录在日志文件后果。

F5公司并未提到这些漏洞是否已遭在野利用。更多信息可参见该公司发布的季度安全通告。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~